早些时间,我曾经在“Anndoo网络安全联盟”网站上报道过,IBM Websphere Commerce Suite(WCS)访问IBM DB2的用户名及密码明文保存在一个文件中。当时对此问题做了一些较浅的分析,可能很多朋友并不会认为这是一个多么严重的问题,在这篇文章中,我试图说明它的危害性,及证明Hacker完全可以利用这个缺陷加上其它的一些漏洞,获得系统的最高权限。
首先,对IBM WCS做一个简单的介绍,IBM WCS是一套电子商务系统平台软件,支持多种操作系统及不同的WEB SERVER,并且采用了三层架构技术既:“HTTP SERVER ,APPLICATION SERVER,DATABASE”。是目前比较先进的电子商务系统。IBM WCS FOR NT,2000的版本中,默认配置为:“IBM HTTP SERVER(APACHE 1.3.6),IBM Application server,IBM DB2”。从这配置您就可以看出来,IBM HTTP SERVER其实是用的APACHE1.3.6(支持php)。
接着我们来假想如何发现漏洞及如何利用漏洞获得系统最高权限。
我们可以想象,一个管理员装了IBM WCS,但它又是一个php的爱好者,所以它又在系统上装了php的解释器。也就是说目前这个网站及支持jsp也支持php。看上去功能变的更为强大,他用jsp写了聊天室,用php做了新闻列表,但他没有想到,他可能会成为入侵者的目标。
而在遥远的另一端,一位入侵者正在用自己编写好的一段简单的代码,向一个网段内的所有主机的80端口发送http请求GET /xx.php3.%5c../..%5cconf/httpd.conf HTTP/1.1,根据请求返回的结果判断对方是否存在Apache+php读系统文件的漏洞。经过一会儿,扫描器告诉入侵者目标出现,于是他很高兴的使用代理连上了目标地址http://xxx.xxx.xxx.x,然后输入http://xxx.xxx.xxx.x/xx.php3.%5c../..%5c../waserver/bin/admin.config。很不幸的事情发生了,admin.config的所有内容都暴露在了浏览器上,当然,入侵者最关心的是下边这两行:
com.ibm.ejs.sm.adminServer.dbUser=db2admin
com.ibm.ejs.sm.adminServer.dbPassword=shabi
用户名和密码就这么轻易获得了,而且最重要的是这个用户的权限很高,因为入侵者知道,在安装db2的时候,需要添加一个用户到administrator组中去。有了用户名和密码,剩下的事情就非常简单了,大摇大摆的像一个合法用户样的进入它的系统,做自己想做的任何事情:窃取机密资料?格式化它的硬盘?不,留下一个后门,清除自己的登陆及http访问日志。然后离开。心里可能还想着:“913,下一个目标呢?”。
故事远远没有结束,扫描器可能还在运行着,而下一个“受害者(肉鸡)”是谁?谁也不知道。
作者的话:
写这篇文章的目的重在强调几个方面:
1.对任何一个安全隐患都不要掉以轻心
2.不要报着侥幸心理以为入侵者找不到你头上来
否则换来的代价就是安盟的安全新闻http://www.chinansl.com/show.asp?db=news&type=news]中又多了一条“XX网站被黑”的消息及上司的臭骂和内心的不安及自责。
版权信息:
本文属“Anndoo网络安全联盟”所有,可以转载,但请保持文章的完整性并注名出处,如果此文需要在任何带有商业色彩的报刊或杂志上刊登Q929230,请经过作者的同意后再那么做!